Mar
31
Classé sous:
HISTOIRE DE MALWARE
L’attribution de noms aux virus ou le dilemme du « Who's who ? » (2)
31 mars 2010
Comment appeler les nouveaux malwares ?
Première tentative d’uniformisation : le Système Caro (suite)
Il souligne un aspect extrêmement important qui a tendance à être oublié dans ce débat : l’objectif est avant tout d’avertir les utilisateurs finaux de l’existence d’une menace, quel que soit le nom qu’on lui donne. La précision de l’identification du virus étant l’objectif principal (est-il nouveau ? est-ce une variante d’un virus existant ? etc.), le choix du nom est secondaire. Disons simplement que tout malware devrait être identifié par son nom Caro, ou par le nom que lui attribue la plupart des personnes, ou par celui que lui a donné la première personne à l’avoir découvert.
Première tentative d’uniformisation : le Système Caro (suite)
Une nouvelle version du système CARO a été créée en 1999, en tant qu’initiative privée, et a été proposée pour être adoptée par l’industrie antivirus entière. Elle était destinée à intégrer dans le système d’attribution de noms CARO des types de malwares affectant d’autres plateformes que MS-DOS. Comme l’explique l’auteur du document, ce changement a été motivé par l’apparition de WM/Concept.A, le premier macro-virus à se diffuser via Microsoft Word. Le document propose d’adopter une forme plus complète que le modèle Caro : type de plateforme/nom caro[message].
Afin de mieux refléter la diversité des malwares, ce texte suggère également de considérer les « virus » comme le type de malwares par défaut et d’inclure d’autres dénominations de malwares dans le système Caro : chevaux de Troie, injecteurs, vers, blagues, germes, etc. D’autres éléments étaient destinés à rendre le nom du malware aussi descriptif que possible : les identifiants de langues et un petit message indiquant à l’utilisateur final la nature malveillante du programme.
Voici un exemple de nom de malware respectant ce modèle : Win32.MSNWorm.Rachel.A
Schéma 2 : Nom de virus basé sur le nouveau modèle Caro (1999)
Plateforme affectée
L’Approche de la Wildlist
Dans son article intitulé How Scientific Naming Works , Joe Wells, fondateur de la Wildlist Organization International, aborde les inconvénients de l’attribution de noms aux virus d’un point de vue pratique. En l’absence d’un système d’attribution de noms scientifique, comme en biologie, et d’un ensemble d’échantillons de virus harmonisé, auquel tout chercheur de ce domaine peut avoir accès, un nom de virus ne devrait pas être considéré comme correct ou erroné et tous les noms de virus existants devraient être considérés comme valides.Il souligne un aspect extrêmement important qui a tendance à être oublié dans ce débat : l’objectif est avant tout d’avertir les utilisateurs finaux de l’existence d’une menace, quel que soit le nom qu’on lui donne. La précision de l’identification du virus étant l’objectif principal (est-il nouveau ? est-ce une variante d’un virus existant ? etc.), le choix du nom est secondaire. Disons simplement que tout malware devrait être identifié par son nom Caro, ou par le nom que lui attribue la plupart des personnes, ou par celui que lui a donné la première personne à l’avoir découvert.
Vers une dénomination commune des malwares
En 2005, au cours d’une Conférence de Virus Bulletin, une nouvelle tentative a été faite pour clarifier le système de dénomination des malwares. C’est alors que l’initiative CME est apparue, regroupant plusieurs acteurs majeurs de l’industrie de la sécurité des données qui souhaitaient « […] fournir un nom commun aux menaces importantes dans le but de permettre aux utilisateurs de protéger plus efficacement leurs ordinateurs contre les attaques de malwares. »
Les organisations soutenant le projet de la CME ont choisi un format commun d’identification des malwares : CME- N, où N correspond à un nombre entier entre 1 et 999. Comme le montre la liste CME, un identifiant de type CME-N correspond à plusieurs allias d’un même malware. Par exemple, CME-416 est aussi appelé :
Les organisations soutenant le projet de la CME ont choisi un format commun d’identification des malwares : CME- N, où N correspond à un nombre entier entre 1 et 999. Comme le montre la liste CME, un identifiant de type CME-N correspond à plusieurs allias d’un même malware. Par exemple, CME-416 est aussi appelé :
- Trojan.Downloader.AOW (par BitDefender)
- Email-Worm.Win32.Warezov.dc (par Kaspersky)
- W32/Stration.dr (par Mcafee)
- W32/Stratio-AW (par Sophos), etc.
De plus, fidèle à son esprit encyclopédique, la liste indique une description du malware et sa date d’activation.
Malgré sa capacité à clarifier la classification des malwares, certains sceptiques doutent que ce système puisse suivre le rythme extrêmement soutenu de l’industrie antimalware. Le besoin de délivrer une solution pour contrer chaque attaque aussi vite que possible passera probablement avant ce nouveau système d’attribution de noms, qui ne sera sans doute appliqué qu’après coup.
En d’autres termes, pendant l’étape d’identification, différents noms désigneront le même malware, mais pendant l’étape de classification, tous ces allias seront regroupés sous un même identifiant de type CME-N.
Bien que des efforts aient été réalisés pour parvenir à un consensus sur les règles d’attribution de noms aux virus, la diversité paraît dominer pour le moment. Ainsi, il semble bien que les noms de virus dépendent de l’inspiration du moment. (à suivre)
Copyright 2011. Proposé par Bitdefender